Trickbot – o botnet de aluguel que a Microsoft atacou – está lutando para se manter vivo

11

Pessoas fora da Microsoft concordaram que a remoção parece estar gerando resultados. Marcus Hutchins, um pesquisador que acompanha de perto os botnets, disse que o Trickbot tem duas classes de servidores. Os servidores de comando atualizam as configurações e enviam comandos, enquanto os servidores de plug-ins baixam ferramentas modulares usadas para fraudes bancárias, infecção de novos computadores ou envio de spam.

Até mesmo um único servidor de comando pode dizer rapidamente a todos os computadores infectados onde encontrar novos servidores de controle, então a remoção parcial deles não é um golpe mortal, disse Hutchins. Na verdade, nas horas que antecederam a publicação deste post, os operadores de botnet foram capazes de adicionar 13 novos servidores de comando.

Onde as coisas ficam mais otimistas para os membros da remoção é que, por algum motivo, nenhum dos servidores de plug-in está sendo substituído.

“Sem os servidores de plug-ins, o bot é apenas um carregador sem nada para carregar”, disse Hutchins. “Essencialmente, o botnet está fora de ação por enquanto. Contanto que eles tenham C2s funcionando, eles podem revivê-lo. Mas do jeito que está, eles não o fizeram. ”

“Eu não estou morto ainda”

Hutchins disse que a vitória não está completa. Por um lado, é possível que os servidores de plug-ins ainda possam ser restaurados. E, por outro lado, no momento em que este post estava indo ao ar, os operadores do Trickbot estavam ativamente implantando ransomware usando o que é chamado de BazarLoader.

Ainda é muito cedo para declarar vitória. Não está claro exatamente por que os servidores de plug-ins não estão sendo substituídos. Se os servidores de plug-in retornarem, os truques maliciosos normais do Trickbot provavelmente retornarão.

“Definitivamente não está morto”, disse Hutchins, “apenas incapacitado”.

Fonte: Ars Technica